Auf einem neuen Windows-11-Notebook landest du nach dem ersten Start in einem System, das dich verkaufen will. Candy Crush im Startmenü, Werbung im Sperrbildschirm, Bing in der Suche, Copilot in der Taskleiste, und auf passender Hardware demnächst auch Recall, das alle paar Sekunden Screenshots von deinem Bildschirm macht. Für ein privates Gerät ist das ärgerlich. Für ein KMU, das mit personenbezogenen Daten arbeitet, ist es ein Problem.
Es gibt ein Open-Source-Werkzeug, das einen Großteil davon mit einem Skript abräumt: Win11Debloat. 38.500 GitHub-Stars, MIT-Lizenz, regelmäßig gepflegt, letztes Release Ende Dezember 2025. Kein Schlangenöl, sondern eine bequeme Sammlung dokumentierter Registry-Tweaks und PowerShell-Befehle, die du auch von Hand eingeben könntest – wenn du Lust auf ein paar Stunden Klickarbeit hättest.
Dieser Beitrag erklärt, was das Skript leistet, warum besonders Recall die Diskussion verdient, und wo Win11Debloat in einer Firmen-Umgebung sinnvoll ist – und wo nicht.
Was Win11Debloat tatsächlich tut
Drei Kategorien:
- Vorinstallierte Apps entfernen. Candy Crush, TikTok, Clipchamp, die Bing-Apps, Copilot, Teams Personal, eine lange Liste mehr. Auf Wunsch auch HP-Bloatware, falls auf einem HP-Gerät installiert.
- Telemetrie und Tracking abschalten. Diagnose-Daten, Aktivitätsverlauf, App-Launch-Tracking, personalisierte Werbe-IDs.
- Werbung und Vorschläge aus der Oberfläche räumen. Bing aus der Suche, Vorschläge im Startmenü, Werbung im Sperrbildschirm, Spotlight-Hintergrund, Widgets.
Dazu kommt der Punkt, um den es in diesem Beitrag besonders geht: Recall lässt sich ebenfalls deaktivieren.
Was ist Microsoft Recall?
Definition: Microsoft Recall Recall ist eine Windows-11-Funktion, die regelmäßig Screenshots des Bildschirms anfertigt, lokal speichert und per KI durchsuchbar macht.
Recall macht alle fünf Sekunden einen Screenshot, sofern sich der Bildschirminhalt im Vergleich zum vorherigen Screenshot ausreichend geändert hat. Diese Bilder werden lokal in einer Datenbank abgelegt, per OCR mit Texten angereichert und über eine Zeitleiste durchsuchbar gemacht. Du tippst „die Excel-Tabelle mit den Umsätzen aus Q3″ – Recall findet den Moment, in dem du sie offen hattest.
Klingt praktisch. Ist auch praktisch. Und genau das ist das Problem.
Warum ist Recall datenschutzrechtlich heikel?
Weil Recall keine Inhaltsmoderation kennt. Was auf dem Bildschirm zu sehen ist, landet im Archiv – inklusive Kundennamen, E-Mail-Inhalten, Kontoauszügen, medizinischen Daten oder offenen Passwortmanager-Fenstern.
Microsoft hat nach dem ersten Shitstorm im Sommer 2024 nachgebessert: Recall ist serienmäßig inaktiv und muss aktiv eingeschaltet werden, die Inhalte sind verschlüsselt, der Schlüssel hängt am TPM, und der Recall-Prozess läuft in einer abgeschotteten virtuellen Enklave. Auch ein Filter für vertrauliche Daten ist standardmäßig aktiv – Passwortfelder und Passwortmanager wie KeePass werden ausgeschlossen.
Das ist deutlich besser als die ursprüngliche Version. Aber: Im Juli 2025 wurde dokumentiert, dass Recall trotz dieses Filters weiterhin Kreditkartendaten und Passwörter erfasst. Und: Schaltet man den Schutz für vertrauliche Daten einmal ab und wieder an, landen vertrauliche Bilder doch im Verlauf. Ein Sicherheitsversprechen, das sich durch eine simple Umkonfiguration aushebeln lässt, ist kein belastbares Versprechen.
Dazu kommt ein DSGVO-Aspekt, den IT-Verantwortliche in KMU oft unterschätzen. Wenn auf dem Bildschirm einer Mitarbeiterin personenbezogene Daten Dritter zu sehen sind – Kunden, Bewerber, Patienten – und diese unbemerkt im Recall-Archiv landen, entsteht eine zweite, undokumentierte Datenverarbeitung ohne Rechtsgrundlage. Das ist im Audit schwer zu erklären.
Ist Recall in Deutschland überhaupt verfügbar?
Aktuell mit Einschränkungen. Recall ist aktuell nicht regulär in Deutschland verfügbar; aufgrund der Datenschutzbedenken wurde der Release in Europa vorerst ausgesetzt, und Microsoft hat die Funktion zu einem Opt-in-Feature gemacht. Voraussetzung ist außerdem ein sogenannter Copilot+-PC mit dedizierter NPU – also Hardware mit Qualcomm Snapdragon X, Intel Core Ultra mit AI Boost oder AMD Ryzen AI.
Die meisten KMU werden Recall also gar nicht aktiv erleben – noch nicht. Aber: Mit jeder neuen Notebook-Generation wandert Copilot+-Hardware in den Standard-Bereich, und Microsoft hat klargemacht, dass Recall das Aushängeschild dieser Geräteklasse sein soll. Wer heute einplant, wie er damit umgeht, hat morgen kein Problem.
Recall ist nicht aktiv, weil es nicht läuft. Recall ist nicht aktiv, weil es bewusst abgeschaltet wurde. Das ist ein Unterschied, der im DSGVO-Kontext zählt.
Macht das Skript den PC schneller?
Ehrlich: kaum messbar. Was du spürst:
- Die Suche im Startmenü reagiert subjektiv schneller, weil keine Bing-Webanfragen mehr nebenbei laufen.
- Weniger Hintergrundprozesse durch entfernte Store-Apps und deaktivierten Copilot. Auf einem modernen Rechner mit 16 GB RAM und SSD: Messrauschen. Auf einem 8-GB-Notebook mit HDD: spürbar.
- Etwas längerer Boot, weil Fast Start-up standardmäßig deaktiviert wird – das ist als Feature gewollt, nicht als Bug.
- Auf Notebooks etwas bessere Akkulaufzeit, weil die Netzwerkverbindung im Modern Standby abgeschaltet wird.
Der eigentliche Gewinn ist nicht Geschwindigkeit, sondern Ruhe. Keine Werbung, kein Recall, keine Vorschläge im Startmenü, kein Bing-Geraune in der Suche, keine vorinstallierten Spiele. Win11Debloat ist ein Datenschutz- und UX-Werkzeug, kein Performance-Tool.
Ist Win11Debloat in Firmen-Umgebungen brauchbar?
Hier muss man trennen.
Auf Einzelplatzgeräten ohne Domäne
Ja. Selbstständige, kleine Büros mit zwei, drei Rechnern ohne Active Directory, Notebooks von Geschäftsführern, die ihren eigenen Rechner verwalten – dafür ist Win11Debloat das richtige Werkzeug. Interaktiv durchgehen, bewusst auswählen, fertig.
In AD-verwalteten Umgebungen
Eingeschränkt empfehlenswert. In einer professionell betriebenen Windows-Domäne erledigt man diese Konfiguration sauberer über Gruppenrichtlinien (GPO) oder Microsoft Intune. Das hat zwei Vorteile: Die Konfiguration ist zentral dokumentiert, und sie wird auf neuen Geräten automatisch angewendet, ohne dass jemand manuell ein Skript ausführen muss.
Microsoft stellt dafür inzwischen explizite Policies bereit. Über die Policy „Allow Recall to be enabled“ lässt sich festlegen, ob die optionale Recall-Komponente überhaupt verfügbar ist; bei deaktivierter Policy werden die Recall-Bestandteile vom Gerät entfernt, und bereits gespeicherte Snapshots werden gelöscht. Diese Policy lässt sich per GPO oder Intune flächendeckend ausrollen.
Ein typisches Szenario in einem KMU mit 20 Arbeitsplätzen: Der externe IT-Dienstleister baut die GPO einmal, hängt sie an die OU der Notebooks, fertig. Win11Debloat wäre hier doppelte Arbeit – und wird beim nächsten Windows-Feature-Update teils zurückgesetzt, ohne dass jemand etwas merkt.
In Firmen mit AD/Intune gehört diese Konfiguration in die Gruppenrichtlinien, nicht in ein einmal ausgeführtes PowerShell-Skript.
Mischbetrieb und kleine Setups
Spannend wird’s für die Zwischengröße: Drei bis zehn Geräte, kein AD, aber auch nicht „nur Privat“. Hier ist Win11Debloat im Sysprep-Modus interessant – das Skript bringt eine Option mit, die Änderungen ins Default-Profil zu schreiben, sodass sie automatisch für alle neu angelegten Benutzer gelten. Praktisch, wenn man frische Notebooks für Mitarbeiter aufsetzt.
Restore Point: was er kann, was er nicht ersetzt
Vor jeder größeren Änderung an einem Windows-System ist ein Wiederherstellungspunkt billiger als jede Diskussion hinterher. Drei Sekunden Aufwand, keine Lizenzkosten, du kannst das System zurückdrehen, wenn etwas Unerwartetes passiert.
Definition: Wiederherstellungspunkt Ein Wiederherstellungspunkt ist ein Snapshot von Systemdateien, Registry und installierten Treibern zu einem definierten Zeitpunkt, auf den Windows zurückrollen kann.
Erstellst du in Windows 11 manuell über Systemsteuerung → System → Erweiterte Systemeinstellungen → Computerschutz → Erstellen. Falls die Schaltfläche ausgegraut ist, ist der Computerschutz für die Systempartition deaktiviert – auf Windows-11-Geräten ist das seit einer Weile der Standardzustand. Erst aktivieren, dann Punkt erstellen.
Wichtig zu wissen: Ein Wiederherstellungspunkt ist kein Backup. Er sichert keine Dokumente, keine E-Mail-Datenbanken, keine Access-Frontends, keine SQL-Datenbanken. Er rollt nur Windows-Systemzustände zurück. Für alles, was du an echten Daten verlierst, brauchst du eine echte Datensicherung.
In professionell verwalteten Firmen-Umgebungen wird man stattdessen mit Snapshots auf VM-Ebene, Image-Backups (Veeam, Acronis, Macrium) oder Endpoint-Backup-Lösungen arbeiten. Der Wiederherstellungspunkt ist ein Hilfsmittel für Einzelplatzgeräte, kein Konzept für eine Unternehmens-IT.
Empfehlung
Für Selbstständige und kleine Büros ohne AD: Win11Debloat lohnt sich. Nimm den interaktiven Modus, geh die Optionen bewusst durch, erstelle vorher einen Wiederherstellungspunkt und behalte folgende Dinge bewusst:
- Microsoft Store (sonst kommen Apps schwer zurück)
- Terminal, Notepad, Calculator, Snipping Tool, Photos
- Xbox-Identity-Provider, falls Spiele oder Game-Pass im Einsatz sind
Für KMU mit AD oder Intune: Lass die Konfiguration einmal sauber als GPO bauen. Das ist die Investition von einem halben Tag und spart dir bei jedem neuen Gerät und jedem Windows-Update Nacharbeit.
Recall solltest du in beiden Fällen aktiv deaktivieren – auch wenn die Funktion in Deutschland aktuell nicht regulär ausgerollt wird. Wer das einmal in der Konfiguration verankert, muss sich keine Sorgen machen, wenn Microsoft die regionale Beschränkung kippt.
Wo das alles an Grenzen stößt
Win11Debloat ist ein Werkzeug für die Oberfläche. Es entfernt Bloatware und schaltet bekannte Telemetrie-Endpunkte ab. Was es nicht löst: dass Windows 11 als Betriebssystem strukturell auf Microsoft-Cloud-Dienste ausgerichtet ist, dass OneDrive-Integration, Microsoft-Account-Pflicht und KI-Features mit jedem Feature-Update neu auftauchen können, und dass ein cloud-zentriertes Microsoft-365-Setup nicht plötzlich DSGVO-konform wird, nur weil Candy Crush weg ist.
Wer Datensouveränität ernst meint, sollte Win11Debloat als ersten Schritt verstehen, nicht als Komplett-Lösung. Strukturelle Antworten – europäische Cloud-Alternativen, lokale KI-Modelle, klare Datenflüsse – brauchen eine Architektur-Entscheidung, kein PowerShell-Skript.
Fazit
Win11Debloat ist ein gut gepflegtes Open-Source-Werkzeug, das auf Einzelplatzgeräten in fünf Minuten erledigt, wofür man sonst Stunden in Einstellungen und Registry verbringt. In professionell verwalteten Firmen-Umgebungen gehört diese Konfiguration in GPOs, nicht in ein Skript. Recall solltest du in beiden Welten deaktivieren – nicht weil die aktuelle Implementierung katastrophal wäre, sondern weil ein „aktiv deaktiviert“ im DSGVO-Kontext anders zählt als „regional gerade nicht ausgerollt“.
Wenn du in deinem KMU eine saubere GPO für Windows-11-Härtung aufsetzen möchtest oder unsicher bist, welche Recall- und Telemetrie-Settings für deine Branche relevant sind, schreib mir.
Quellen
- Win11Debloat auf GitHub
- Microsoft Learn: Manage Recall for Windows clients
- Microsoft Learn: WindowsAI Policy CSP
- c’t / heise: Recall im Recall
- BDO Security: Microsoft Recall – Übersicht und Risiken
- Borns IT-Blog: Recall erfasst weiterhin Kreditkartendaten und Passwörter (Juli 2025)
- Helmut Hahn: Windows Recall jetzt für alle – außer Europa
